İş gücü ve dış kiracılarda desteklenen özellikler
Kuruluşun kiracıyı ve yönetmek istediği kaynakları nasıl kullanmayı planladığına bağlı olarak, bir Microsoft Entra kiracısını yapılandırmanın iki yolu vardır:
- İş gücü kiracı yapılandırması çalışanlarınız, şirket içi iş uygulamaları ve diğer kuruluş kaynakları içindir. B2B işbirliği, iş gücü kiracısında dış iş ortakları ve konuklarla işbirliği yapmak için kullanılır.
- Dış kiracı yapılandırması, yalnızca tüketicilere veya iş müşterilerine uygulama yayımlamak istediğiniz Dış Kimlik senaryoları için kullanılır.
Bu makale, iş gücü ve dış kiracılarda kullanılabilen özelliklerin ve özelliklerin ayrıntılı bir karşılaştırmasını sunar.
Not
Önizleme sırasında, premium lisans gerektiren özellikler veya özellikler dış kiracılarda kullanılamaz.
Genel özellik karşılaştırması
Aşağıdaki tabloda, iş gücünde ve dış kiracılarda kullanılabilen genel özellikler ve özellikler karşılaştırmaktadır.
| Özellik | İş gücü kiracısı | Dış kiracı |
|---|---|---|
| Dış kimlikler senaryosu | İş ortaklarının ve diğer dış kullanıcıların iş gücünüzle işbirliği yapmasına izin verin. Konuklar davetler veya self servis kayıt yoluyla iş uygulamalarınıza güvenli bir şekilde erişebilir. | Uygulamalarınızın güvenliğini sağlamak için Dış Kimlik'i kullanın. Tüketiciler ve iş müşterileri self servis kaydolma yoluyla tüketici uygulamalarınıza güvenli bir şekilde erişebilir. Davetler de desteklenir. |
| Yerel hesaplar | Yerel hesaplar yalnızca kuruluşunuzun iç üyeleri için desteklenir. | Yerel hesaplar, self servis kaydolma kullanan dış kullanıcılar (tüketiciler, iş müşterileri) için desteklenir. - Yöneticiler tarafından oluşturulan hesaplar. |
| Gruplar | Yönetim ve kullanıcı hesaplarını yönetmek için gruplar kullanılabilir. | Yönetim hesaplarını yönetmek için gruplar kullanılabilir. Microsoft Entra grupları ve uygulama rolleri için destek müşteri kiracılarına aşamalı olarak uygulanıyor. En son güncelleştirmeler için bkz . Gruplar ve uygulama rolleri desteği. |
| Roller ve yöneticiler | Roller ve yöneticiler , yönetim ve kullanıcı hesapları için tam olarak desteklenir. | Roller müşteri hesaplarında desteklenmez. Müşteri hesaplarının kiracı kaynaklarına erişimi yoktur. |
| Kimlik koruması | Microsoft Entra kiracınız için sürekli risk algılama sağlar. Kuruluşların kimlik tabanlı riskleri keşfetmesine, araştırmasına ve düzeltmesine olanak tanır. | Microsoft Entra Kimlik Koruması risk algılamalarının bir alt kümesi kullanılabilir. Daha fazla bilgi edinin. |
| Self servis parola sıfırlama | Kullanıcıların en fazla iki kimlik doğrulama yöntemi kullanarak parolalarını sıfırlamasına izin verin (kullanılabilir yöntemler için sonraki satıra bakın). | Kullanıcıların tek seferlik geçiş koduyla e-posta kullanarak parolalarını sıfırlamasına izin verin. Daha fazla bilgi edinin. |
| Dil özelleştirmesi | Kullanıcılar kurumsal intranet veya web tabanlı uygulamalarınızda kimlik doğrulaması yaparken tarayıcı diline göre oturum açma deneyimini özelleştirin. | Oturum açma ve kaydolma işleminin bir parçası olarak müşterilerinize görüntülenen dizeleri değiştirmek için dilleri kullanın. Daha fazla bilgi edinin. |
| Özel öznitelikler | Kullanıcı nesneleri, gruplar, kiracı ayrıntıları ve hizmet sorumluları için Microsoft Entra dizininde daha fazla veri depolamak için dizin uzantısı özniteliklerini kullanın. | Kullanıcı nesneleri için müşteri dizininde daha fazla veri depolamak için dizin uzantısı özniteliklerini kullanın. Özel kullanıcı öznitelikleri oluşturun ve bunları kaydolma kullanıcı akışınıza ekleyin. Daha fazla bilgi edinin. |
Özelleştirmeyi görün ve hissedin
Aşağıdaki tabloda, iş gücünde ve dış kiracılarda genel görünüm özelleştirmesi için kullanılabilen özellikler karşılaştırmaktadır.
| Özellik | İş gücü kiracısı | Dış kiracı |
|---|---|---|
| Şirket markası | Kullanıcılarınız için tutarlı bir oturum açma deneyimi oluşturmak için tüm bu deneyimler için geçerli olan şirket markası ekleyebilirsiniz. | İş gücüyle aynı. Daha fazla bilgi edinin |
| Dil özelleştirmesi | Oturum açma deneyimini tarayıcı diline göre özelleştirin. | İş gücüyle aynı. Daha fazla bilgi edinin |
| Özel etki alanı adları | Özel etki alanlarını yalnızca yönetim hesapları için kullanabilirsiniz. | Dış kiracılar için özel URL etki alanı (önizleme) özelliği, uygulama oturum açma uç noktalarını kendi etki alanı adınızla markalandırabilmenizi sağlar. |
| Mobil uygulamalar için yerel kimlik doğrulaması | Kullanılamaz | Microsoft Entra'nın yerel kimlik doğrulaması , mobil uygulama oturum açma deneyimlerinizin tasarımı üzerinde tam denetim sahibi olmanıza olanak tanır. |
Kendi iş mantığınızı ekleme
Özel kimlik doğrulama uzantıları, dış sistemlerle tümleştirerek Microsoft Entra kimlik doğrulama deneyimini özelleştirmenize olanak tanır. Özel kimlik doğrulama uzantısı temelde, etkinleştirildiğinde kendi iş mantığınızı tanımladığınız REST API uç noktasına HTTP çağrısı yapan bir olay dinleyicisidir. Aşağıdaki tabloda, iş gücü ve dış kiracılarda kullanılabilen özel kimlik doğrulama uzantıları olayları karşılaştırmaktadır.
| Etkinlik | İş gücü kiracısı | Dış kiracı |
|---|---|---|
| TokenIssuanceStart | Dış sistemlerden talepler ekleyin. | Dış sistemlerden talepler ekleyin. |
| OnAttributeCollectionStart | Kullanılamaz | Öznitelik koleksiyonu sayfası işlenmeden önce, kaydolmanın öznitelik koleksiyonu adımının başında gerçekleşir. Değerleri önceden doldurma ve engelleme hatası görüntüleme gibi eylemler ekleyebilirsiniz. Daha fazla bilgi edinin |
| OnAttributeCollectionSubmit | Kullanılamaz | Kayıt akışı sırasında, kullanıcı öznitelikleri girip gönderdikten sonra gerçekleşir. Kullanıcının girdilerini doğrulama veya değiştirme gibi eylemler ekleyebilirsiniz. Daha fazla bilgi edinin |
Kimlik sağlayıcıları ve kimlik doğrulama yöntemleri
Aşağıdaki tablo, iş gücü ve dış kiracılarda birincil kimlik doğrulaması ve çok faktörlü kimlik doğrulaması (MFA) için kullanılabilen kimlik sağlayıcılarını ve yöntemlerini karşılaştırır.
| Özellik | İş gücü kiracısı | Dış kiracı |
|---|---|---|
| Dış kullanıcılar için kimlik sağlayıcıları | Self servis kaydolma konukları için: - Microsoft Entra hesapları - Microsoft hesapları - E-posta tek seferlik geçiş kodu - Google federasyonu - Facebook federasyonu Davet edilen konuklar için: - Microsoft Entra hesapları - Microsoft hesapları - E-posta tek seferlik geçiş kodu - Google federasyonu - SAML/WS-Fed federasyonu |
Self servis kaydolma kullanıcıları için (tüketiciler, iş müşterileri): - Parola - ile e-posta e-posta tek seferlik geçiş kodu- Google federasyonu (önizleme) - Facebook federasyonu (önizleme) |
| Kimlik doğrulama yöntemleri | İç kullanıcılar (çalışanlar ve yöneticiler) için: - Kimlik doğrulama ve doğrulama yöntemleri Konuklar için (davet edilen veya self servis kaydolma): - Konuk MFA için kimlik doğrulama yöntemleri |
Self servis kaydolma kullanıcıları için (tüketiciler, iş müşterileri): - MFA için tek seferlik geçiş kodu e-posta ile gönderme |
Uygulama kaydı
Aşağıdaki tabloda, her kiracı türünde Uygulama kaydı için kullanılabilen özellikler karşılaştırmaktadır.
| Özellik | İş gücü kiracısı | Dış kiracı |
|---|---|---|
| Protokol | SAML bağlı olan taraflar, OpenID Bağlan ve OAuth2 | OpenID Bağlan ve OAuth2 |
| Desteklenen hesap türleri | Aşağıdaki hesap türleri:
|
Hesapları her zaman yalnızca bu kuruluş dizininde kullanın (Tek kiracı). |
| Platform | Aşağıdaki platformlar:
|
Aşağıdaki platformlar:
|
| Kimlik Doğrulama>Yeniden Yönlendirme URI'leri | Microsoft Entra Id URI'leri, kullanıcıların kimlik doğrulamasını başarıyla tamamladıktan veya oturumu kapattığında kimlik doğrulama yanıtları (belirteçler) döndürülürken hedef olarak kabul eder. | İş gücüyle aynı. |
| Kimlik doğrulaması>Ön kanal oturumu kapatma URL'si | Bu URL, Microsoft Entra Id'nin uygulamanın kullanıcının oturum verilerini temizlemesi için bir istek gönderdiği yerdir. Çoklu oturumun düzgün çalışması için Ön kanal oturumu kapatma URL'si gereklidir. | İş gücüyle aynı. |
| Kimlik Doğrulama>Örtük verme ve karma akışlar | Doğrudan yetkilendirme uç noktasından bir belirteç isteyin. | İş gücüyle aynı. |
| Sertifikalar ve gizli diziler | İş gücüyle aynı. | |
| API izinleri | Bir uygulamaya izin ekleme, kaldırma ve değiştirme. Uygulamanıza izinler eklendikten sonra, kullanıcıların veya yöneticilerin yeni izinler için onay vermesi gerekir. Microsoft Entra Id'de bir uygulamanın istenen izinlerini güncelleştirme hakkında daha fazla bilgi edinin. | İzin verilen izinler şunlardır: Microsoft Graph offline_access, openidve User.Read API'lerimtemsilci izinleri. Kuruluş adına yalnızca bir yönetici onay verebilir. |
| API'yi kullanıma sunma | API tarafından korunan verilere ve işlevlere erişimi kısıtlamak için özel kapsamlar tanımlayın. Bu API'nin bazı bölümlerine erişim gerektiren bir uygulama, bir kullanıcının veya yöneticinin bu kapsamlardan birine veya daha fazlasına onay vermesini isteyebilir. | API tarafından korunan verilere ve işlevlere erişimi kısıtlamak için özel kapsamlar tanımlayın. Bu API'nin bölümlerine erişim gerektiren bir uygulama, bu kapsamlardan birine veya daha fazlasına yönetici onayı isteyebilir. |
| Uygulama rolleri | Uygulama rolleri, kullanıcılara veya uygulamalara izin atamak için özel rollerdir. Uygulama, uygulama rollerini tanımlar, yayımlar ve yetkilendirme sırasında bunları izin olarak yorumlar. | İş gücüyle aynı. Dış kiracıdaki uygulamalar için rol tabanlı erişim denetimini kullanma hakkında daha fazla bilgi edinin. |
| Sahipleri | Uygulama sahipleri uygulama kaydını görüntüleyebilir ve düzenleyebilir. Ayrıca, herhangi bir uygulamayı (örneğin, Bulut Uygulaması Yönetici istrator) yönetmek için yönetici ayrıcalıklarına sahip olan tüm kullanıcılar (listelenmeyebilir) uygulama kaydını görüntüleyebilir ve düzenleyebilir. | İş gücüyle aynı. |
| Roller ve yöneticiler | Yönetici istrative rolleri, Microsoft Entra Id'de ayrıcalıklı eylemlere erişim vermek için kullanılır. | Dış kiracılardaki uygulamalar için yalnızca Bulut Uygulaması Yönetici istrator rolü kullanılabilir. Bu rol, uygulama kayıtlarının ve kurumsal uygulamaların tüm yönlerini oluşturma ve yönetme olanağı sağlar. |
| Uygulamaya kullanıcı ve grup atama | Kullanıcı ataması gerekli olduğunda yalnızca uygulamaya atadığınız (doğrudan kullanıcı ataması veya grup üyeliği tabanlı atama ile) kullanıcılar oturum açabilir. Daha fazla bilgi için bkz. Uygulamaya kullanıcı ve grup atamasını yönetme | Kullanılamaz |
OpenID Bağlan ve OAuth2 akışları
Aşağıdaki tabloda, her kiracı türündeki OAuth 2.0 ve OpenID Bağlan yetkilendirme akışları için kullanılabilen özellikler karşılaştırmaktadır.
| Özellik | İş gücü kiracısı | Dış kiracı |
|---|---|---|
| OpenID Connect | Yes | Yes |
| Yetkilendirme kodu | Yes | Yes |
| Kod Değişimi (PKCE) ile yetkilendirme kodu | Yes | Yes |
| İstemci kimlik bilgileri | Yes | v2.0 uygulamaları |
| Cihaz yetkilendirme | Yes | Hayır |
| On-Behalf-Of akışı | Yes | Yes |
| Örtük hibe | Yes | Yes |
| Kaynak Sahibi Parola Kimlik Bilgileri | Yes | Hayır, mobil uygulamalar için yerel kimlik doğrulaması kullanın. |
OpenID Bağlan ve OAuth2 akışlarında yetkili URL'si
Yetkili URL'si, MSAL'nin belirteç isteyebileceği bir dizini gösteren bir URL'dir. Dış kiracılardaki uygulamalar için her zaman şu biçimi kullanın: <tenant-name.ciamlogin.com>
Aşağıdaki JSON, yetkili URL'sine sahip bir .NET uygulaması appsettings.json dosyasının örneğini gösterir:
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
Koşullu Erişim
Aşağıdaki tabloda, her kiracı türünde Koşullu Erişim için kullanılabilen özellikler karşılaştırmaktadır.
| Özellik | İş gücü kiracısı | Dış kiracı |
|---|---|---|
| Atamalar | Kullanıcılar, gruplar ve iş yükü kimlikleri | Tüm kullanıcıları dahil edin ve kullanıcıları ve grupları hariç tutun. Daha fazla bilgi için bkz . Uygulamaya çok faktörlü kimlik doğrulaması (MFA) ekleme. |
| Hedef kaynaklar | ||
| Koşullar | ||
| İzin ver | Kaynaklara erişim izni verme veya kaynaklara erişimi engelleme | |
| Oturum | Oturum denetimleri | Kullanılamaz |
Hesap yönetimi
Aşağıdaki tabloda, her kiracı türünde kullanıcı yönetimi için kullanılabilen özellikler karşılaştırmaktadır. Tabloda belirtildiği gibi, bazı hesap türleri davet veya self servis kayıt yoluyla oluşturulur. Kiracıdaki bir kullanıcı yöneticisi, yönetim merkezi aracılığıyla da hesap oluşturabilir.
| Özellik | İş gücü kiracısı | Dış kiracı |
|---|---|---|
| Hesap türleri |
|
|
| Kullanıcı profili bilgilerini yönetme | Program aracılığıyla ve Microsoft Entra yönetim merkezini kullanarak. | İş gücüyle aynı. |
| Kullanıcının parolasını sıfırlama | Yönetici istrator'lar parola unutulursa, kullanıcı bir cihazın dışında kalırsa veya kullanıcı hiç parola almadıysa kullanıcının parolasını sıfırlayabilir. | İş gücüyle aynı. |
| Son zamanlarda silinen bir kullanıcıyı geri yükleme veya kaldırma | Sildiğiniz kullanıcı hesapları 30 gün boyunca askıya alınmış durumda kalır. 30 günlük süre boyunca, kullanıcı hesabı tüm özellikleriyle birlikte geri yüklenebilir. | İş gücüyle aynı. |
| Hesapları devre dışı bırakma | Yeni kullanıcının oturum açabilmesini engelleyin. | İş gücüyle aynı. |
Parola koruması
Aşağıdaki tabloda, her kiracı türünde parola koruması için kullanılabilen özellikler karşılaştırmaktadır.
| Özellik | İş gücü kiracısı | Dış kiracı |
|---|---|---|
| Akıllı kilitleme | Akıllı kilitleme , kullanıcılarınızın parolalarını tahmin etmeye çalışan veya içeri girmek için deneme yanılma yöntemleri kullanan kötü aktörleri kilitlemeye yardımcı olur | İş gücüyle aynı. |
| Özel yasaklanmış parolalar | Microsoft Entra özel yasaklanmış parola listesi, değerlendirmek ve engellemek için belirli dizeler eklemenize olanak tanır. | Kullanılamaz. |
Belirteç özelleştirme
Aşağıdaki tabloda, her kiracı türünde belirteç özelleştirmesi için kullanılabilen özellikler karşılaştırmaktadır.
| Özellik | İş gücü kiracısı | Dış kiracı |
|---|---|---|
| Talep eşlemesi | Kurumsal uygulamalar için JSON web belirtecinde (JWT) verilen talepleri özelleştirin. | İş gücüyle aynı. İsteğe bağlı talepler Öznitelikler ve Talepler aracılığıyla yapılandırılmalıdır. |
| Talep dönüştürme | Kurumsal uygulamalar için JSON web belirtecinde (JWT) verilen bir kullanıcı özniteliğine dönüştürme uygulayın. | İş gücüyle aynı. |
| Özel talep sağlayıcısı | Dış sistemlerden talep getirmek için dış REST API'yi çağıran özel kimlik doğrulama uzantısı . | İş gücüyle aynı. Daha fazla bilgi edinin |
| Güvenlik grupları | İsteğe bağlı talepleri gruplandırma. | Grupları yapılandırma isteğe bağlı talepler grup nesnesi kimliğiyle sınırlıdır. |
| Belirteç kullanım ömrü | Microsoft Entra Id tarafından verilen güvenlik belirteçlerinin ömrünü belirtebilirsiniz. | İş gücüyle aynı. |
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin